Eseguire un'analisi eDiscovery dei contenuti per Teams

  • 8 minuti

eDiscovery, è il processo di identificazione e distribuzione di informazioni elettroniche che possono essere usate come prove in una controversia legale. Le grandi imprese sono spesso esposte a procedimenti giudiziari con sanzioni elevate che richiedono l'invio di tutte le informazioni archiviate elettronicamente (ESI). I contenuti di Microsoft Teams possono essere cercati e usati durante le indagini di eDiscovery.

Individuazione dei contenuti teams per eDiscovery

È possibile usare gli strumenti di eDiscovery per cercare il contenuto di Teams. A seconda del tipo di contenuto di Teams, verranno configurate posizioni diverse in eDiscovery.

Contenuti di Teams Posizione contenuto
Microsoft Teams 1:1 o chat di gruppo Cassette postali degli utenti
Messaggi di canale standard Cassetta postale di gruppo che rappresenta il team
Messaggi di un canale privato Cassetta postale dei membri del canale privato
File caricati nei canali standard Sito di SharePoint usato dal team
File caricati nei canali privati Sito di SharePoint utilizzato dal canale
Contenuto privato OneDrive utenti

Nota

L'applicazione di un blocco a un utente non comporta automaticamente il blocco di un gruppo o viceversa.

Soluzioni eDiscovery

Esistono tre funzionalità chiave di eDiscovery.

Screenshot delle funzionalità principali degli strumenti eDiscovery di Microsoft 365.

  • Ricerca contenuto. Utilizzare lo strumento di ricerca contenuto per cercare contenuto nelle origini dati di Microsoft 365 e quindi esportare i risultati della ricerca in un computer locale.

  • eDiscovery (Standard). eDiscovery (Standard) si basa sulla funzionalità di ricerca ed esportazione di base di Ricerca contenuto consentendo di creare casi di eDiscovery e assegnare gestori di eDiscovery a casi specifici. Investigatori e gestori di eDiscovery possono accedere solo ai casi di cui sono membri. eDiscovery (Standard) ti consente anche di associare ricerche ed esportazioni a un caso e ti consente di mettere in attesa eDiscovery le posizioni dei contenuti rilevanti per il caso.

  • eDiscovery (Premium). Lo strumento eDiscovery (Premium) si basa sulle capacità di gestione, conservazione, ricerca ed esportazione dei casi esistenti in eDiscovery (Standard). eDiscovery (Premium) fornisce un flusso di lavoro end-to-end per conservare, raccogliere, esaminare, analizzare ed esportare contenuti che rispondono alle indagini interne ed esterne dell'organizzazione. Consente ai team legali di gestire i responsabili e il flusso di lavoro per le notifiche di blocco a fini giudiziari per comunicare con i responsabili coinvolti in un caso. Consente di raccogliere e copiare dati dal servizio live in set di revisioni, quando è possibile filtrare, cercare e contrassegnare il contenuto per eliminare il contenuto non pertinente da un'ulteriore revisione in modo che il flusso di lavoro possa identificare e concentrarsi sul contenuto più rilevante. eDiscovery (Premium) fornisce modelli di codifica predittiva basati su analisi e apprendimento automatico per restringere ulteriormente l'ambito dell'indagine al contenuto più pertinente.

Per iniziare a usare eDiscovery di base, ecco un semplice flusso di lavoro per la creazione di blocchi di eDiscovery per le persone di interesse, la ricerca di contenuti rilevanti per l'indagine e quindi l'esportazione di tali dati per un'ulteriore revisione.

Screenshot del flusso di lavoro di eDiscovery (Standard).

Autorizzazioni di eDiscovery

Se si vuole che le persone usino uno qualsiasi degli strumenti correlati a eDiscovery nel centro di conformità di Microsoft Purview, è necessario assegnare loro le autorizzazioni appropriate. Il modo più semplice per eseguire questa operazione consiste nell'aggiungere la persona al gruppo di ruoli appropriato nella pagina Autorizzazioni nel portale di conformità.

Il gruppo di ruoli principale di eDiscovery nel portale di conformità di Microsoft Purview è denominato manager di eDiscovery. Questo gruppo di ruoli include due sottogruppi.

  • Responsabili di eDiscovery: responsabile di eDiscovery può usare gli strumenti Ricerca eDiscovery per eseguire ricerche in percorsi di contenuto dell'organizzazione e per eseguire diverse azioni correlate alla ricerca, come l'anteprima e l'esportazione dei risultati della ricerca. I membri possono inoltre creare e gestire casi in eDiscovery (Standard) e eDiscovery (Premium), e aggiungere e rimuovere membri in un caso, creare blocchi di casi, eseguire ricerche associate a un caso e accedere ai dati del caso. I manager di eDiscovery possono solo accedere e gestire i casi creati personalmente e non quelli creati da altri manager eDiscovery.

  • Amministratori di eDiscovery: Un amministratore di eDiscovery fa parte del gruppo di ruoli Responsabile di eDiscovery e può eseguire le stesse attività correlate a ricerca contenuto e gestione dei casi eseguibili da un responsabile di eDiscovery. Un amministratore di eDiscovery può anche:

    • Accedere a tutti i casi elencati nelle pagine eDiscovery (Standard) e eDiscovery (Premium) nel portale di conformità di Microsoft Purview.

    • Accedere ai dati dei casi in eDiscovery (Premium) per qualsiasi caso dell'organizzazione.

    • Gestire ogni caso di eDiscovery dopo essersi aggiunto come membro di tale caso.

Creare un caso di eDiscovery (Premium)

Eseguire le operazioni seguenti per creare un caso e iniziare a usare eDiscovery (Standard).

  1. Nell'elenco portale di conformità di Microsoft Purview, selezionare eDiscovery > Standard.

  2. Nella pagina eDiscovery (Standard), selezionare + Crea un caso.

  3. Nel riquadro Nuovo caso sul lato destro digitare un nome significativo e una descrizione del Caso che indica lo scopo del caso. Quindi selezionare Salva.

Il caso creato verrà visualizzato nell'elenco dei casi nella pagina eDiscovery pronto per aggiungere blocchi e ricerche.

Creare un blocco di eDiscovery per il contenuto di Teams

È possibile utilizzare un caso eDiscovery (Standard) per creare blocchi al fine di conservare contenuti che potrebbero essere attinenti al caso. Per creare un blocco di eDiscovery associato a un caso di eDiscovery (Standard):

  1. Nell'elenco portale di conformità di Microsoft Purview, selezionare eDiscovery > Standard.

  2. Nella pagina eDiscovery (Standard), selezionare il nome del caso in cui si desidera creare il blocco.

  3. Nella pagina Home relativa al caso, selezionare la scheda Blocco.

  4. Selezionare + Crea per creare un nuovo blocco.

  5. Nella pagina Assega un nome al blocco, immettere un nome ,significativo e una descrizione che spiega lo scopo del blocco.

  6. Selezionare Avanti.

  7. Nella pagina Scegli posizioni è possibile decidere di bloccare singole posizioni:

    • Cassette postali di Exchange: impostare l'interruttore su Attivato quindi selezionare Scegliere utenti, gruppi o team per specificare le cassette postali da bloccare.

    • Siti di SharePoint: impostare l'interruttore su Attivato quindi fare selezionare Scegli siti per specificare i siti di SharePoint e gli account di OneDrive da mettere in blocco.

    • Cartelle pubbliche di Exchange: impostare l'interruttore su attivato per mettere in stato di blocco tutte le cartelle pubbliche nell'organizzazione di Exchange Online.

      Screenshot di Scegli le posizioni dei contenuti da mettere in attesa. .

  8. Al termine dell'aggiunta di posizioni al blocco, selezionare Avanti.

  9. Per creare un blocco basato su query utilizzando parole chiave o condizioni, eseguire la procedura seguente. Per mantenere tutto il contenuto nei percorsi di contenuto specificati, selezionare Avanti.

    1. Nella casella Parole chiave digitare una query per mantenere solo il contenuto corrispondente ai criteri della query. È possibile specificare parole chiave, proprietà dei messaggi di posta elettronica o proprietà del sito, ad esempio i nomi di file. È anche possibile usare query più complesse, che usano un operatore booleano, ad esempio AND, OR, o NOT.

    2. Selezionare Aggiungi condizione per aggiungere una o più condizioni per limitare la query per il blocco. Ogni condizione aggiunge una clausola alla query di ricerca KQL creata ed eseguita quando si crea il blocco. È ad esempio possibile specificare un intervallo di date in modo che i messaggi di posta elettronica o i documenti del sito creati entro l'intervallo di date specificato vengano mantenuti. Una condizione è collegata logicamente alla query con parola chiave (specificata nella relativa casella parola chiave) e altre condizioni dall'operatore AND. Di conseguenza, gli elementi devono soddisfare sia la query con parole chiave sia la condizione da mantenere.

  10. Dopo aver configurato un blocco basato su query, selezionare Avanti.

  11. Rivedere le impostazioni (modificarle, se necessario), quindi selezionare Invia.

Nota

Dopo aver messo un blocco a una posizione di contenuto, il blocco può richiedere fino a 24 ore prima che diventi attivo.

Cercare il contenuto in un caso

Dopo che un caso eDiscovery (Standard) è stato creato e le persone di interesse nel caso sono state messe in attesa, è possibile creare ed eseguire una o più ricerche di contenuti rilevanti al caso.

Per creare una ricerca di eDiscovery (Standard):

  1. Nell'elenco portale di conformità di Microsoft Purview, selezionare eDiscovery > Standard.

  2. Selezionare un caso. ‎

  3. Nella pagina eDiscovery (Standard) selezionare la scheda Ricerche nel riquadro superiore.

  4. Selezionare la freccia a discesa a destra da + Nuova ricerca. ‎

  5. Nella pagina Assegna un nome immettere un nome significativo e una Descrizione che indica lo scopo della ricerca nel contesto di questo caso di eDiscovery.

  6. Selezionare Avanti.

  7. Nella pagina Posizioni selezionare una delle seguenti opzioni:

    • Posizione specifica scegliere una posizione dall'elenco.

    • posizioni bloccate cercare solo i dati protetti da un blocco dello stesso caso.

  8. Dopo aver scelto le posizioni desiderate, selezionare Avanti.

  9. Nella pagina Definire la condizione di ricerca digitare le parole chiave per la ricerca oppure selezionare + Aggiungi condizioni per eseguire una ricerca più granulare. Tutti gli elementi trovati che contengono queste parole chiave vengono visualizzati nel risultato della ricerca.

  10. Selezionare Invia per creare la ricerca nel caso di eDiscovery.

Una volta completata la ricerca, è possibile visualizzare in anteprima i risultati della ricerca.

Esportare il contenuto da un caso

Dopo aver eseguito correttamente una ricerca associata a un caso eDiscovery (Standard), è possibile esportare i risultati della ricerca.

Seguire questa procedura per esportare i risultati di un contenuto in un caso di eDiscovery:

  1. Nell'elenco portale di conformità di Microsoft Purview, selezionare eDiscovery > Standard.

  2. Nella pagina eDiscovery (Standard), selezionare il nome del caso in cui si desidera creare il blocco.

  3. Nella pagina Home relativa al caso, fare clic sulla scheda Ricerche.

  4. Selezionare la ricerca da esportare.

  5. Nel menu Azioni nella parte inferiore della pagina a comparsa selezionare Esporta risultati.

    Il flusso di lavoro per l’esportazione dei risultati di una ricerca associata a un caso di eDiscovery (Standard) è lo stesso di quando si esportano i risultati di una ricerca eseguita sulla pagina Ricerca contenuto.

  6. Selezionare la scheda Esporta per visualizzare l'elenco dei processi di esportazione per il caso in questione.

    Potrebbe essere necessario selezionare Aggiorna per aggiornare l'elenco dei processi di esportazione in modo che venga visualizzato il processo di esportazione creato. I processi di esportazione hanno lo stesso nome della ricerca corrispondente, con _Export aggiunto al nome della ricerca.

  7. Selezionare il processo di esportazione creato per visualizzare le informazioni sullo stato nella pagina a comparsa. Queste informazioni includono la percentuale di elementi che sono stati trasferiti nell'Archiviazione di Azure locale.

  8. Quando tutti gli elementi saranno stati trasferiti, selezionare Scarica risultati per scaricare i risultati della ricerca nel computer locale.

Per ulteriori informazioni, vedere: